Piratage compte bancaire

Statut
Non disponible pour d'autres réponses.
Tout va dépendre de l'expertise du prestataire tiers qui a mis en place leur système. Je vais suggérer deux points de faille qui peuvent arriver, et qui l'ont déjà été. Et ne nécessiteraient aucunement le concours du client pour mettre en oeuvre l'escroquerie.

Vue la taille du mot de passe (6 chiffres), une recherche exhaustive est triviale s'il y a eu une fuite de couples identifiants / mot de passe simplement hashés. J'ose espérer que la banque utilise un cryptosystème quand même plus fort en utilisant en plus un paramètre de chiffrement extérieur au fichier contenant ces couples.

La génération du code d'authentification ("code SMS" par exemple) doit suivre des procédés bien précis pour être sûre. Il peut arriver que les implémentations ne respectent pas strictement ces procédés. Soit par bug du développeur, soit par "ruse" en pensant être fort et que modifier l'algo le rendrait plus sûr car personne ne saura.

Maintenant que tu connais deux façons possibles, ça apporte quoi? Parce que décrire serait trop complexe pour le néophyte et/ou serait une source d'investigation de l'entreprise lésée qui corrigera bien sûr sans rien dire.
 
Charles356 a dit:
Peu importe où est la faille, la banque doit rembourser sauf si elle prouve une négligence grave ou une fraude la part du client.

Réclamation LR/AR service client -> Médiateur -> Tribunal
Cliquez pour agrandir...

Dans le cas de mon père, il a été intégralement remboursé debut mars par la banque ( soit 2 mois et demi après le piratage ) après un courrier envoyé par UFC Que Choisir indiquant qu ils avaient été mandatés par mon père pour résoudre le problème de vol des 3000 euros suite à un virement frauduleux.

Il avait commencé par écrire un courrier recommandé avec AR resté sans réponse de la part de la banque. 1 mois et demi après il est passé à l étape suivante:

L abonnement a cette association de consommateurs coûte une quarantaine d euros par an et semble être efficace auprès du LCL. Ils rédigent et envoient un courrier à leur nom, donc la banque sait qu elle a maintenant en face d elle des juristes spécialisés dans ce genre de choses. Le remboursement a eu lieu très rapidement après la réception du courrier de l UFC Que Choisir.

Il semble que la valeur du montant volé rentre en compte dans la décision du LCL de rembourser ou pas, j ai cru comprendre que les clients qui avaient eu des sommes sensiblement supérieures ( 9000 euros ) avaient plus de mal à être remboursés, simple observation.
 
Je veux signaler à tous les participants de ce forum que j'ai prévenu la presse et qu'il y a énormément de cas de piratage au LCL un groupe whatts app a été créer et nous sommes de plus en plus nombreux ce groupe s'appelle
Arnaque LCL je précise qu'il s'agit d'un piratage nationale qui a commencé au mois de novembre 2021 bien évidemment le fait d'avoir donné ses codes a un faux conseillier ne sont pas pris en compte,je veux préciser aussi que dans ce groupe des victimes sont passé dans l'émission de Julien Courbet
 
Je veux signaler à tous les participants de ce forum que j'ai prévenu la presse et qu'il y a énormément de cas de piratage au LCL un groupe whatts app a été crée , nous sommes de plus en plus nombreux ce groupe s'appelle
Arnaque LCL je précise qu'il s'agit d'un piratage nationale qui a commencé au mois de novembre 2021 bien évidemment le fait d'avoir donné ses codes a un faux conseillier ne sont pas pris en compte,je veux préciser aussi que dans ce groupe des victimes sont passés dans l'émission de Julien Courbet
 
Cyril_C a dit:
Les pirates ont récupéré compte et mot de passe via une data leak de la banque et/ou une opération de phishing auprès du client

Les pirates ont introduit un code sur votre portable qui a programmé un re routage de vos SMS vers leur numéro . L’autre option théorique étant de hacker le SI de la banque en MAJ où le système qui génère le code, c’est pas ouvert à tout le monde .

Le SMS n’est pas sûr ; les banques le savent puisqu’elles le remplacent progressivement par le système de connexion à votre compte depuis votre appli sur le téléphone préalablement enregistré .

A titre d’illustration :
Je me suis fait très rarement (1 fois) avoir mais j’ai cliqué sur un message + lien envoyé par une connaissance ( a son insu ) et cela génera : des rdv dans mon agenda, dès contacts de numéros surtaxés en tête de mon carnet d’adresse (commençant par un ´.’) et l’envoi (a mon insu) du même message à tout mon carnet d’adresse Messenger … que j’ai dû effacer 1 par 1 et les prévenir . Voilà c’est pas magique on doit faire un truc sur son tel pour l’activer mais même étant initié je me suis fait avoir par l’usurpation de l’émetteur .

Bref encore une fois : soyez hyper prudent avec les app téléphoniques.
Cliquez pour agrandir...

AlbertoWin a dit:
Encore une fois arrêtez de tergiverser.

On se regroupe, action collective et on dit que la banque doit prouver la négligence grave et qu’il n’y a pas eu de défaillance. Rapide, simple et succès garanti.

Car là vos propos sont contradictoires.
Trahison interne ? Ok et ? Pourquoi vous parlez d’identifiant et de mot de passe? Il n’en ont pas besoin. En plus le mot de passe subit un me encryption a sens unique (hashage) et personne ne peut retrouver le mot de passe d’origine. Personne.
Cliquez pour agrandir...
Ok comment fait on pour se regrouper ?
 
La page de connexion aux comptes: [lien réservé abonné] est constituée d'un patchwork d'URLs en France, Irlande, Etats Unis etc..

Plus de 30 fichiers javascript au total de provenances diverses, utiliser Firefox>tools>web developer>network

4 fichiers javascript provenant effectivement des serveurs LCL Crédit Agricole en France
[lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné]
7 fichiers javascript provenant des serveurs Amazon Web Service en Irlande et aux USA, gérés par le LCL mais dans des machines maintenues par Amazon.
[lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné]
plus de 19 fichiers javascript provenant de serveurs externes sans aucun contrôle du LCL.
[lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné]
Manip à compléter sur les pages de gestion des comptes pour ceux qui ont le bonheur d'être au LCL.

Tout script javascript chargé d'un site externe a tous les droits sur la page principale, capture écran, modification écran, mouvements souris, frappes clavier. Le téléchargement d'URLs de fichiers non exécutables comme des images gif, jpg, png, webp, eux ne posent pas de problème de sécurité.
Si la page LCL charge et exécute une URL externe avec un javascript de tracking marketing aux USA, ce script peut absolument tout capter sur la page de login et des comptes.
Faites donc l'essai avec deux sites sur des hostings gratuits, si votre page principale charge un javascript de screenshot sur le deuxième site, à partir du deuxième site vous pouvez capter ou modifier la totalité des pixels de la page du premier site (combobox, clavier virtuel, texte,...) sans que l'utilisateur de la page principale s'en aperçoive.
Voir en Janvier 2019, "Des hackers piratent une régie pub de La Poste, des numéros de cartes bancaires compromis" Adverline, à cause de tags javascript sur des pages de paiement permettant de récupérer les numéros et codes des cartes bancaires.
Voir en Juin 2022, "Une ancienne ingénieure d’Amazon reconnue coupable du piratage massif de la banque Capital One", a siphonné les informations de 100 millions d’Américains et de 6 millions de Canadiens en mars 2019. Les serveurs étaient mal configurés. Dans cet exemple il ne s'agissait à priori pas d'exploitation de tags javascript, mais difficile de dire jusqu'où allait réellement ce piratage. En plus de Capital One, 30 clients Amazon Web Service ont été touchés, y avait-il le LCL dans cette liste?
 
huguetteramallin a dit:
La page de connexion aux comptes: [lien réservé abonné] est constituée d'un patchwork d'URLs en France, Irlande, Etats Unis etc..

Plus de 30 fichiers javascript au total de provenances diverses, utiliser Firefox>tools>web developer>network

4 fichiers javascript provenant effectivement des serveurs LCL Crédit Agricole en France
[lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné]
7 fichiers javascript provenant des serveurs Amazon Web Service en Irlande et aux USA, gérés par le LCL mais dans des machines maintenues par Amazon.
[lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné]
plus de 19 fichiers javascript provenant de serveurs externes sans aucun contrôle du LCL.
[lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné][lien réservé abonné]
Manip à compléter sur les pages de gestion des comptes pour ceux qui ont le bonheur d'être au LCL.

Tout script javascript chargé d'un site externe a tous les droits sur la page principale, capture écran, modification écran, mouvements souris, frappes clavier. Le téléchargement d'URLs de fichiers non exécutables comme des images gif, jpg, png, webp, eux ne posent pas de problème de sécurité.
Si la page LCL charge et exécute une URL externe avec un javascript de tracking marketing aux USA, ce script peut absolument tout capter sur la page de login et des comptes.
Faites donc l'essai avec deux sites sur des hostings gratuits, si votre page principale charge un javascript de screenshot sur le deuxième site, à partir du deuxième site vous pouvez capter ou modifier la totalité des pixels de la page du premier site (combobox, clavier virtuel, texte,...) sans que l'utilisateur de la page principale s'en aperçoive.
Voir en Janvier 2019, "Des hackers piratent une régie pub de La Poste, des numéros de cartes bancaires compromis" Adverline, à cause de tags javascript sur des pages de paiement permettant de récupérer les numéros et codes des cartes bancaires.
Voir en Juin 2022, "Une ancienne ingénieure d’Amazon reconnue coupable du piratage massif de la banque Capital One", a siphonné les informations de 100 millions d’Américains et de 6 millions de Canadiens en mars 2019. Les serveurs étaient mal configurés. Dans cet exemple il ne s'agissait à priori pas d'exploitation de tags javascript, mais difficile de dire jusqu'où allait réellement ce piratage. En plus de Capital One, 30 clients Amazon Web Service ont été touchés, y avait-il le LCL dans cette liste?
Cliquez pour agrandir...
Alors ok mais donc cela revient à avoir l’identifiant et le mot de passe. Ensuite pour le SMS il faut que l’utilisateur le reçoive sur son téléphone le tape sur le site pour la même opération que le pirate est en train de faire, que le pirate aille plus vite et que l’erreur de l’utilisateur ne l’alerte pas (code erronée),

Bref j’ai toujours dit que je crois à 100% qu’une fuite identifiant et mot de passe soit possible et pour la loi c’est pas suffisant mais comment ils ont eu le SMS ?
 
L envoi de SMS à probablement été désactivé du côté de la banque. Des personnes qui sont au LCL ont eu des virements frauduleux alors qu elle s ne se servent pas de leur smartphone pour accéder à la banque. Ni pour autre chose.

Pour bcp de gens âgés, et plusieurs ont été victimes du piratage , le smartphone, c est téléphone et SMS et c est à peu près tout. D ailleurs il existe des téléphones mobiles basiques sans app ou appareil photo pour cette clientèle.

Il est donc impossible que ça se soit passé avec une app vérolée, ou des codes depuis un smartphone.

Ce qui semble incroyable, c’est que la faille ait durée de novembre 2021 à fin janvier 2022. Qu a fait le LCL quand ils ont commencé à recevoir des plaintes en novembre ? Rien.

J ai dû ouvrir à contre cœur un compte au LCL pour pouvoir faire des virements pour les assurances vie de mes enfants et aussi parce que mes parents et mon ex compagne, la mère de mes enfants y ont leur compte. Mais je ne laisse jamais plus de 100 euros sur ce compte courant à mon nom, et j ai refusé une autorisation de découvert.
 
Dernière modification:
Vos témoignages font converger vers une attaque informatique de la banque.
Pas sûr que malgré la presse et la TV, LCL avoue .

Vous avez 2 possibilités pour une de action de groupe :
- convaincre UFC de mener la procédure comme elle l’a fait pour la BP et la fermeture abusive des PEL

- passer par un avocat spécialisé .

pour recenser les victimes whatsapp c’est bien mais pensez que tout le monde n’a pas . Groupe Facebook privé et avec un peu de chance appel tv par l’avocat ou ufc .

N’oubliez pas que J. Courbet plie les gaules la fin de la semaine et jusque septembre .

Bon courage en espérant que ça face une bonne jurisprudence .
 
Cyril_C a dit:
Vos témoignages font converger vers une attaque informatique de la banque.
Pas sûr que malgré la presse et la TV, LCL avoue .

Vous avez 2 possibilités pour une de action de groupe :
- convaincre UFC de mener la procédure comme elle l’a fait pour la BP et la fermeture abusive des PEL

- passer par un avocat spécialisé .

pour recenser les victimes whatsapp c’est bien mais pensez que tout le monde n’a pas . Groupe Facebook privé et avec un peu de chance appel tv par l’avocat ou ufc .

N’oubliez pas que J. Courbet plie les gaules la fin de la semaine et jusque septembre .

Bon courage en espérant que ça face une bonne jurisprudence .
Cliquez pour agrandir...
Sorry ´ fasse ´
 
[lien réservé abonné]
 
Une bonne nouvelle pour vous !, rapprochez vous donc l'UFC pour vous inscrire dans la procédure.
 
Ce qui est hallucinant, c est que le LCL continue de refuser de rembourser des personnes qui ont été victimes du piratage alors que la direction de la banque voit très bien qu ils vont droit dans le mur en continuant de refuser tout remboursement. Ils vont se prendre la justice dans les dents et ça va leur faire mal.

Ça va leur coûter bien plus cher avec potentiellement un mauvaise publicité qui sera reprise par les médias.
 
zeldus a dit:
Ce qui est hallucinant, c est que le LCL continue de refuser de rembourser des personnes qui ont été victimes du piratage alors que la direction de la banque voit très bien qu ils vont droit dans le mur en continuant de refuser tout remboursement. Ils vont se prendre la justice dans les dents et ça va leur faire mal.

Ça va leur coûter bien plus cher avec potentiellement un mauvaise publicité qui sera reprise par les médias.
Cliquez pour agrandir...
Vu où ils en sont maintenant autant continuer le déni, tout ceux qui iront pas en procès paieront pour les autres.
 
Merci à la rédaction du site moneyvox pour leur article à propos du piratage au LCL. En tête de la page d’accueil, cela permet à plus de monde d être au courant et pourra les aider. Et cela rajoute un peu plus la pression au LCL qui voit l’affaire de plus en plus médiatisée.

Je pense à toutes les victimes de ce piratage qui n ont pas réussis à être remboursés rapidement après.
Courage, la loi est clairement dans le camp des victimes.
 
Concernant piratage de compte chez LCL j'informe les gens du forum qu'un autre article vient de paraitre dans le canard enchainé d'aujourd'hui nous sommes très nombreux à nous avoir fait pirater je propose à tous les participants de se rapprocher de Franceconsobanque chercher sur internet nous allons organiser une action de groupe
 
Sachez que tous les journaux de chaque région en ont parlé il y a des cas dans toute la France et je vous garantie que nous sommes très nombreux donc l'union fait la force je précise que Franceconsobanque fait une action spéciale contre le LCL et un prix pour l'adhésion qui est de 45 € je précise que je suis une victime comme vous client particulier de la banque LCL depuis de très nombreuses années la manière dont nous avons été traité les uns et les autres est un scandale.
 
Cyril_C a dit:
Une bonne nouvelle pour vous !, rapprochez vous donc l'UFC pour vous inscrire dans la procédure.
Cliquez pour agrandir...
Sachez que tous les journaux de chaque région en ont parlé il y a des cas dans toute la France et je vous garantie que nous sommes très nombreux donc l'union fait la force je précise que Franceconsobanque fait une action spéciale contre le LCL et un prix pour l'adhésion qui est de 45 € je précise que je suis une victime comme vous client particulier de la banque LCL depuis de très nombreuses années la manière dont nous avons été traité les uns et les autres est un scandale.
 
Mais france conso banque n'est pas une association de consommateur agréée alors que l'UFC oui
 
Statut
Non disponible pour d'autres réponses.
Bons plans du moment
Logo Garance mutuelle
PER : Jusqu'à 750 € + frais de transfert remboursés
Logo EasyBourse
Bourse : Frais de transfert : jusqu'à 2 000€ remboursés
Logo BforBank
Compte bancaire : Jusqu'à 230 € offerts + 1 mois gratuit sur BforZEN
Logo Boursorama Banque
Compte bancaire : Jusqu'à 120 € offerts avec la carte Ultim
Voir plus d'actualités
Actualités les plus consultées
Carsat« Ma retraite Agirc-Arrco a baissé. Ma pension Carsat du 9 septembre va-t-elle suivre ? » 1966« J'ai 59 ans en 2025. Je pourrai partir à la retraite à quel âge ? » 1967 retraite« Je peux prendre une retraite progressive ? À partir de quand ? J'aurai 59 ans en 2026 » couper sa carte bancaireUne grève massive de la carte bancaire ce mercredi ? Les résultats de notre sondage exclusif Bloquons tout« Bloquons tout » : votre banque peut-elle limiter vos retraits d'espèces, sur votre livret ou votre assurance vie ? Les taux immobiliers sont sous pressionTaux immobilier : une très mauvaise nouvelle pour le coût votre crédit cette semaine ?
Retour
Haut